cyberstrikelab—Thunder
字数 2146 2025-08-22 12:23:30

CyberStrikeLab-Thunder 渗透测试实战教学文档

1. 环境概述

本次渗透测试涉及一个多层网络环境,包含四台目标主机,使用了多种渗透测试技术和工具。测试过程中遇到了多种安全防护措施(如360全家桶、Defender等),并成功绕过。

2. 第一台主机渗透过程

2.1 信息收集

  • 通过OpenVPN连接后自动跳转到ThinkPHP页面
  • 使用ThinkPHP综合利用工具扫描发现:
    • 文件包含漏洞
    • 数据库信息泄露
    • RCE漏洞

2.2 漏洞利用

  • 直接读取C盘下的flag.txt文件
  • 尝试连接数据库(root/root)但无有用信息
  • 使用狐狸工具箱的弱鸡webshell免杀工具上传webshell
  • 使用蚁剑或哥斯拉连接webshell

2.3 权限维持

  1. Vshell上线

    • 设置监听172.16.233.2:9995
    • 生成并运行客户端程序

  2. Cobalt Strike上线

    • 设置监听172.16.233.2:1234
    • 使用掩日工具生成通用免杀的exe程序
    • 运行后门程序

2.4 提权操作

  • 使用潇湘信安的PostExpKit插件中的BadPotato提权
  • 抓取明文密码:WIN-BCQDCARVJPJ\Administrator::Tp@cslKM
  • 使用谢公子插件开启RDP服务

2.5 远程桌面连接

  • 使用Vshell搭建第一层代理
  • 配置Proxifier设置远程桌面走socks5代理
  • 连接远程桌面后关闭360主动防御和晶核,禁用Defender

3. 第二台主机渗透过程

3.1 信息收集

  • 发现172.20.57.98开放3389和3306端口
  • 使用Tscan爆破发现MySQL凭据:root/cslab

3.2 漏洞利用

  • 使用MDUT连接数据库
  • 尝试UDF提权(使用SafeGroceryStore/MDUT或MDUT-Extend-Release)
  • 发现低权限用户无法读取C盘flag文件

3.3 权限维持

  1. Vshell上线

    • 通过第一台主机作为跳板上传文件
    • 生成正向客户端并执行

  2. Cobalt Strike上线

    • 使用掩日本地分离进行免杀
    • 生成并执行后门程序

3.4 提权操作

  • 使用PostExpKit的BadPotato提权至system权限
  • 使用谢公子插件创建新用户(因无法抓取明文密码)

3.5 远程桌面连接

  • 使用Vshell搭建第二层代理
  • 配置Proxifier设置远程桌面走socks5代理
  • 连接后关闭杀毒软件

4. 第三台主机渗透过程

4.1 信息收集

  • 80端口运行Zblog 1.7.3服务
  • 从第二台主机获取数据库访问权限

4.2 漏洞发现

  • 分析Zblog密码生成机制:
    1. 明文密码MD5哈希
    2. 连接用户唯一码(盐)
    3. 再次MD5哈希

4.3 漏洞利用

  • 修改数据库中的密码哈希值接管管理员账户
  • 通过后台getshell(参考官方回复和GitHub资源)
  • 使用蚁剑通过两层代理连接webshell

4.4 提权操作

  • 发现www用户可sudo执行/home/www/write.sh
  • 利用该脚本修改root密码并通过SSH连接

4.5 代理搭建

  • 使用Stowaway或Venom搭建三层代理
  • 逐层设置socks代理

5. 第四台主机渗透过程

5.1 信息收集

  • 发现10.1.1.56:8443运行Zimbra服务

5.2 漏洞利用

  • 遇到代理访问问题,解决方案:
    1. 使用浏览器+SwitchyOmega访问,BurpSuite抓包攻击
    2. 通过SSH正向代理访问(修改第三台主机root密码后)

5.3 具体攻击步骤

  1. 在第三台主机/xp/www目录放置1.dtd文件
  2. 通过BP抓包读取密码
  3. 获取ldap_root_password
  4. 使用Python脚本(Zimbra_SOAP_API_Manage.py)上传shell.jsp
  5. 通过Cookie执行命令

6. 关键工具和技术总结

6.1 主要工具

  • 漏洞利用工具:ThinkPHP综合利用工具、MDUT、Zimbra_SOAP_API_Manage.py
  • Webshell管理:蚁剑、哥斯拉
  • 权限维持:Vshell、Cobalt Strike
  • 免杀工具:狐狸工具箱弱鸡webshell免杀工具、掩日
  • 提权工具:潇湘信安PostExpKit、BadPotato
  • 代理工具:Proxifier、Stowaway、Venom

6.2 关键技术点

  1. ThinkPHP漏洞综合利用
  2. 数据库UDF提权
  3. 多层网络代理穿透
  4. Zblog密码哈希机制分析与利用
  5. Zimbra XXE+SSRF漏洞利用
  6. 多层级免杀技术

7. 防御建议

  1. ThinkPHP防护

    • 及时更新ThinkPHP版本
    • 禁用危险函数
    • 限制文件包含操作

  2. 数据库安全

    • 使用强密码策略
    • 限制远程访问
    • 禁用不必要的函数(如UDF)

  3. Zblog安全

    • 升级到最新版本
    • 修改默认后台路径
    • 实施二次验证

  4. Zimbra防护

    • 及时打补丁
    • 限制XML解析功能
    • 监控异常登录行为

  5. 通用防护

    • 实施最小权限原则
    • 启用日志审计
    • 部署EDR解决方案
    • 定期进行渗透测试

本教学文档详细记录了从信息收集到最终控制的完整渗透流程,涉及多种技术手段和工具的使用,可作为红队演练和蓝队防御的参考材料。

CyberStrikeLab-Thunder 渗透测试实战教学文档 1. 环境概述 本次渗透测试涉及一个多层网络环境,包含四台目标主机,使用了多种渗透测试技术和工具。测试过程中遇到了多种安全防护措施(如360全家桶、Defender等),并成功绕过。 2. 第一台主机渗透过程 2.1 信息收集 通过OpenVPN连接后自动跳转到ThinkPHP页面 使用ThinkPHP综合利用工具扫描发现: 文件包含漏洞 数据库信息泄露 RCE漏洞 2.2 漏洞利用 直接读取C盘下的flag.txt文件 尝试连接数据库(root/root)但无有用信息 使用狐狸工具箱的弱鸡webshell免杀工具上传webshell 使用蚁剑或哥斯拉连接webshell 2.3 权限维持 Vshell上线 设置监听172.16.233.2:9995 生成并运行客户端程序 Cobalt Strike上线 设置监听172.16.233.2:1234 使用掩日工具生成通用免杀的exe程序 运行后门程序 2.4 提权操作 使用潇湘信安的PostExpKit插件中的BadPotato提权 抓取明文密码: WIN-BCQDCARVJPJ\Administrator::Tp@cslKM 使用谢公子插件开启RDP服务 2.5 远程桌面连接 使用Vshell搭建第一层代理 配置Proxifier设置远程桌面走socks5代理 连接远程桌面后关闭360主动防御和晶核,禁用Defender 3. 第二台主机渗透过程 3.1 信息收集 发现172.20.57.98开放3389和3306端口 使用Tscan爆破发现MySQL凭据:root/cslab 3.2 漏洞利用 使用MDUT连接数据库 尝试UDF提权(使用SafeGroceryStore/MDUT或MDUT-Extend-Release) 发现低权限用户无法读取C盘flag文件 3.3 权限维持 Vshell上线 通过第一台主机作为跳板上传文件 生成正向客户端并执行 Cobalt Strike上线 使用掩日本地分离进行免杀 生成并执行后门程序 3.4 提权操作 使用PostExpKit的BadPotato提权至system权限 使用谢公子插件创建新用户(因无法抓取明文密码) 3.5 远程桌面连接 使用Vshell搭建第二层代理 配置Proxifier设置远程桌面走socks5代理 连接后关闭杀毒软件 4. 第三台主机渗透过程 4.1 信息收集 80端口运行Zblog 1.7.3服务 从第二台主机获取数据库访问权限 4.2 漏洞发现 分析Zblog密码生成机制: 明文密码MD5哈希 连接用户唯一码(盐) 再次MD5哈希 4.3 漏洞利用 修改数据库中的密码哈希值接管管理员账户 通过后台getshell(参考官方回复和GitHub资源) 使用蚁剑通过两层代理连接webshell 4.4 提权操作 发现www用户可sudo执行/home/www/write.sh 利用该脚本修改root密码并通过SSH连接 4.5 代理搭建 使用Stowaway或Venom搭建三层代理 逐层设置socks代理 5. 第四台主机渗透过程 5.1 信息收集 发现10.1.1.56:8443运行Zimbra服务 5.2 漏洞利用 遇到代理访问问题,解决方案: 使用浏览器+SwitchyOmega访问,BurpSuite抓包攻击 通过SSH正向代理访问(修改第三台主机root密码后) 5.3 具体攻击步骤 在第三台主机/xp/www目录放置1.dtd文件 通过BP抓包读取密码 获取ldap_ root_ password 使用Python脚本(Zimbra_ SOAP_ API_ Manage.py)上传shell.jsp 通过Cookie执行命令 6. 关键工具和技术总结 6.1 主要工具 漏洞利用工具 :ThinkPHP综合利用工具、MDUT、Zimbra_ SOAP_ API_ Manage.py Webshell管理 :蚁剑、哥斯拉 权限维持 :Vshell、Cobalt Strike 免杀工具 :狐狸工具箱弱鸡webshell免杀工具、掩日 提权工具 :潇湘信安PostExpKit、BadPotato 代理工具 :Proxifier、Stowaway、Venom 6.2 关键技术点 ThinkPHP漏洞综合利用 数据库UDF提权 多层网络代理穿透 Zblog密码哈希机制分析与利用 Zimbra XXE+SSRF漏洞利用 多层级免杀技术 7. 防御建议 ThinkPHP防护 及时更新ThinkPHP版本 禁用危险函数 限制文件包含操作 数据库安全 使用强密码策略 限制远程访问 禁用不必要的函数(如UDF) Zblog安全 升级到最新版本 修改默认后台路径 实施二次验证 Zimbra防护 及时打补丁 限制XML解析功能 监控异常登录行为 通用防护 实施最小权限原则 启用日志审计 部署EDR解决方案 定期进行渗透测试 本教学文档详细记录了从信息收集到最终控制的完整渗透流程,涉及多种技术手段和工具的使用,可作为红队演练和蓝队防御的参考材料。